《网络与信息安全》教程 第九讲入侵检测分析 主讲:段云所副教授 北京大学计算机系 does(.edu.cn
网络与信息安全 网络与信息安全 教程 第 九讲 入侵检测分析 主讲 段云所 副教授 北京大学计算机系 北京大学计算机系 doyes@pku.edu.cn doyes@pku.edu.cn
入侵检测技术IDS 1定义 入侵检测是通过从计算机网络或 系统中的若干关键点收集信息并对其 进行分析,从中发现网络或系统中是 否有违反安全策略的行为和遭到入侵 的迹象的一种安全技术
入侵检测技术IDS 1定义 入侵检测是通过从计算机网络或 系统中的若干关键点收集信息并对其 进行分析 从中发现网络或系统中是 否有违反安全策略的行为和遭到入侵 的迹象的一种安全技术
入侵检测是防火墙的合理补充,帮助系统 对付网络攻击,扩展了系统管理员的安全管理 能力(包括安全审计、监视、进攻识别和响 应),提高了信息安全基础结构的完整性。入 侵检测被认为是防火墙之后的第二道安全闸门, 在不影响网络性能的情况下能对网络进行监测, 从而提供对内部攻击、外部攻击和误操作的实 时保护 入侵检测也是保障系统动态安全的核心技 术之
入侵检测是防火墙的合理补充 帮助系统 对付网络攻击 扩展了系统管理员的安全管理 能力 包括安全审计 监视 进攻识别和响 应 提高了信息安全基础结构的完整性 入 侵检测被认为是防火墙之后的第二道安全闸门 在不影响网络性能的情况下能对网络进行监测 从而提供对内部攻击 外部攻击和误操作的实 时保护 入侵检测也是保障系统动态安全的核心技 术之一
IDS通常执行以下任务: ◆监视、分析用户及系统活动; 系统构造和弱点的审计; ◆识别反映已知进攻的活动模式并报警; 异常行为模式的统计分析; 评估重要系统和数据文件的完整性; 操作系统的审计跟踪管理,并识别用户 违反安全策略的行为
IDS通常执行以下任务 ♦ 监视 分析用户及系统活动 ♦ 系统构造和弱点的审计 ♦ 识别反映已知进攻的活动模式并报警 ♦ 异常行为模式的统计分析 ♦ 评估重要系统和数据文件的完整性 ♦ 操作系统的审计跟踪管理 并识别用户 违反安全策略的行为
传统安全防范技术的不足 ◆传统的操作系统加固技术和防火墙隔离 技术等都是静态安全防御技术,对网络 环境下日新月异的攻击手段缺乏主动的 反应。 ◆入侵检测技术通过对入侵行为的过程与 特征的研究,使安全系统对入侵事件和 入侵过程能做出实时响应
传统安全防范技术的不足 ♦传统的操作系统加固技术和防火墙隔离 技术等都是静态安全防御技术 对网络 环境下日新月异的攻击手段缺乏主动的 反应 ♦入侵检测技术通过对入侵行为的过程与 特征的研究 使安全系统对入侵事件和 入侵过程能做出实时响应